Akku9949/multi-siem-threat-intelligence-platform

# 多 SIEM 威胁情报平台 (MSTIP) ## 关于本项目 开发本项目是为了了解威胁情报平台如何从多个情报源收集、丰富、存储和分析入侵指标 (IOC)。 其目标是构建一个轻量级的威胁情报解决方案，能够执行安全运营中心 (SOC) 中常见的功能，而无需部署企业级 SIEM。 该平台从 AlienVault OTX、AbuseIPDB 和 VirusTotal 收集威胁数据，对指标进行丰富，计算威胁评分，分类严重级别，并通过仪表板和导出 JSON 生成报告。 ## 为什么开发这个项目 作为一名对 SOC 运营和威胁情报感兴趣的网络安全学生，我希望获得以下方面的实践经验： * 威胁情报源 * IOC 丰富 * 信誉分析 * 威胁评分 * 威胁关联 * 安全仪表板 我没有仅仅停留在理论上学习这些概念，而是使用 Python 和公开的威胁情报 API 将它们实现到了一个实际运行的项目中。 ## 功能 * 从多个来源收集威胁情报 * 集成 AlienVault OTX * 集成 AbuseIPDB * 集成 VirusTotal * 执行 IOC 丰富 * 计算威胁评分 * 分类 IOC 严重级别 * 将丰富后的指标存储在 SQLite 中 * 以 JSON 格式导出威胁情报数据 * 生成基于浏览器的 SOC 仪表板 ## 使用的技术 * Python * SQLite * AlienVault OTX API * AbuseIPDB API * VirusTotal API * HTML / CSS ## 项目工作流 1. 从威胁情报源收集 IOC 数据。 2. 使用信誉服务丰富指标。 3. 关联来自多个来源的威胁信息。 4. 计算统一的威胁评分。 5. 分配严重级别。 6. 将结果存储在 SQLite 中。 7. 生成仪表板和报告。 ## 项目结构 ``` MSTIP_Full_Structure ├── config ├── core ├── database ├── enrichment ├── feeds ├── logs ├── models ├── reports ├── docs ├── main.py ├── requirements.txt └── README.md ``` ## 安装说明 创建虚拟环境： ``` python -m venv .venv ``` 激活它： ``` .venv\Scripts\activate ``` 安装依赖项： ``` pip install -r requirements.txt ``` 运行项目： ``` python main.py ``` ## 仪表板 该项目会自动生成一个 HTML 仪表板，显示： * IOC * 威胁评分 * 严重级别 * AbuseIPDB 评分 * VirusTotal 结果 * 处理日期 该仪表板可以直接在浏览器中打开。 ## 学习成果 通过这个项目，我获得了以下方面的实践经验： * API 集成 * 威胁情报工作流 * IOC 处理 * 数据库管理 * Python 自动化 * 安全报告 * 面向 SOC 的分析 ## 未来改进 计划的增强功能包括： * 实时源收集 * MISP 集成 * 使用 Flask 的基于 Web 的仪表板 * 更多威胁情报源 * 告警生成和通知 ## 作者 Akshit Anand 计算机科学与工程（网络安全）工程学士 Galgotias 大学 2026 届 本项目是出于学习、研究和作品集开发目的而创建的。

标签：IOC富化, Python, SQLite, 多模态安全, 威胁情报, 威胁评分, 开发者工具, 无后门, 逆向工具